HP Systems Insight Manager Manual del usuario
Página 133
archivo se debe pasar al servidor de certificados y firmar, y el archivo resultante (generalmente
una respuesta PKCS#10) debe importarse en cada sistema gestionado y al sistema HP SIM.
Para maximizar la seguridad, es importante no realizar ninguno de estos pasos a través de
una red a menos que todas las comunicaciones ya estén protegidas por algún otro tipo de
mecanismo.
Por consiguiente, en el caso de los agentes Insight Management Agent, debe llevarse un
soporte extraíble (por ejemplo, un lápiz de memoria USB, un disco) directamente al sistema
gestionado, se le debe aplicar el PKCS#7 y luego debe llevarse a mano a un sistema seguro
con acceso al servidor de certificados. El archivo de respuestas PKCS#10 debería colocarse
de forma parecida en el soporte extraíble y luego devolverse al sistema gestionado para ser
importado en los agentes Insight Management Agent.
2.
Tome el certificado raíz (solo el certificado, no la clave privada) del servidor de certificados
e impórtelo en la lista de certificados de confianza de HP SIM. Esto permite a HP SIM confiar
en todos los sistemas gestionados, porque éstos se firmaron con este certificado raíz.
3.
Tome el certificado del sistema HP SIM e impórtelo en los agentes Insight Management Agent
de cada sistema. Esto permite a los sistemas gestionados confiar en el sistema HP SIM. Este
certificado puede distribuirse mediante cualquiera de los métodos disponibles para distribuir
el certificado de HP SIM. No obstante, la opción de obtener el certificado directamente del
sistema HP SIM a través de la red debe evitarse debido a posibles ataques intermedios.
Como ocurre con la opción Moderate (Moderado), debe redistribuir el certificado SSL de HP
SIM a los sistemas gestionados siempre que se genere un nuevo certificado SSL de HP SIM.
4.
Una vez que haya completado estos pasos, puede activar la opción en HP SIM para habilitar
la función Require Trusted Certificates (Requerir certificados de confianza). Seleccione Options
(Opciones)
→Security (Seguridad)→Trusted Systems (Sistemas de confianza) y, a continuación,
haga clic en Trusted Certificates (Certificados de confianza). Las advertencias que se presentan
alrededor de esta opción dejan claro que no se enviará ningún comando seguro desde el
sistema HP SIM a los sistemas gestionados que no tengan un certificado firmado por su
servidor de certificados, aunque sí se supervisarán para ver el estado del hardware.
5.
Para SSH, active la opción para aceptar conexiones SSH solo desde los sistemas especificados.
Seleccione Options (Opciones)
→Security (Seguridad)→Trusted Systems (Sistemas de confianza),
haga clic en SSH Host Keys (Claves de host SSH) y, a continuación, habilite la opción The
central management server will accept an SSH connection only if the host key is in the list
below (El servidor de gestión central solo aceptará una conexión SSH si la clave del host se
encuentra en la lista siguiente). Después, debe importar manualmente la clave SSH pública
de cada sistema gestionado a la lista de claves de HP SIM.
Para configurar esto en versiones anteriores de HP SIM, agregue o modifique la línea siguiente
en el archivo Hmx.properties:
MX_SSH_ADD_UNKNOWN_HOSTS=false
y reinicie HP SIM.
Después, debe importar manualmente la clave SSH pública de cada sistema gestionado a la
lista de claves de HP SIM.
Procedimiento: Bloqueo frente a facilidad de uso en sistemas Windows
133